logo

КСЗІ, ТЗІ та авторизація з безпеки систем

Запитати вартість Безплатна консультація

Комплексна система захисту інформації

Закони й норми України вимагають захисту інформації, що належить державі, а також інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом (зокрема службова/конфіденційна інформація, державні інформаційні ресурси тощо).

Комплексна система захисту інформації (КСЗІ) – це сукупність організаційних та технічних заходів і засобів, спрямованих на забезпечення конфіденційності, цілісності та доступності інформації, а також протидію несанкціонованим діям.

Інфографіка - КСЗІ

Регулювання створення, впровадження й використання КСЗІ в Україні виконується відповідно до нормативних документів із технічного захисту інформації (далі – НД ТЗІ), які також визначають підхід до вибору та застосування технічних засобів захисту (засобів ТЗІ) у складі системи. Водночас для визначених категорій інформаційних, електронних комунікаційних, інформаційно-комунікаційних і технологічних систем ключовою процедурою стає авторизація з безпеки системи на основі профілів безпеки.

Створення КСЗІ в автоматизованій системі або інформаційно-телекомунікаційній системі (далі – АС, ІТС) здійснюється згідно з НД ТЗІ 3.7-003 “Порядок проведення робіт зі створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі” на підставі технічного завдання, розробленого відповідно до вимог НД ТЗІ 3.7-001 “Методичні вказівки щодо розробки технічного завдання на створення комплексної системи захисту інформації в автоматизованій системі”.

H-X Technologies має ліцензію Держспецзв’язку на надання послуг криптографічного та технічного захисту інформації. Зокрема, для робіт із впровадження та супроводу засобів ТЗІ/КЗІ у складі КСЗІ. Наказ Державної служби спеціального зв’язку та захисту інформації України про видачу нам ліцензії.

Пропонуємо послуги зі створення та супроводу КСЗІ у перехідних випадках, впровадження засобів ТЗІ/КЗІ, підготовки систем до авторизації з безпеки, розроблення або супроводу цільового профілю безпеки (ЦПБ), підготовки авторизаційної документації та консультацій із захисту інформації.

Запитати вартість

Мета й завдання

Метою наших послуг є допомога замовникам зі створенням і впровадженням КСЗІ та засобів ТЗІ. Для цього ми виконуємо наступні завдання — залежно від того, чи застосовується класична/перехідна модель КСЗІ, чи нова модель авторизації з безпеки системи:

  • Аналізуємо, який режим застосовується до системи: чинна або перехідна КСЗІ, декларування за попередньою моделлю або авторизація з безпеки.
  • Допомагаємо визначити базовий, галузевий або цільовий профіль безпеки та зіставити вимоги профілю з фактичними заходами захисту.
  • Проєктуємо й впроваджуємо технічні та організаційні заходи захисту відповідно до ЦПБ, НД ТЗІ та вимог замовника.
  • Готуємо або супроводжуємо підготовку авторизаційної документації, включно з матеріалами для оцінювання реалізації ЦПБ.

За бажанням замовника ми постійно супроводжуємо КСЗІ.

Засоби ТЗІ, які ми впроваджуємо в рамках КСЗІ

  • мережеві екрани, сегментація та захист периметра;
  • криптографічний захист каналів і даних (VPN, шифрування, ЕЦП);
  • контроль доступу (MFA, ролі, адміністрування привілеїв, політики);
  • централізоване журналювання, моніторинг і контроль цілісності;
  • захист робочих станцій і серверів (антивірусі та EDR);
  • резервне копіювання та відновлення як технічний контур забезпечення доступності;
  • заходи протидії витоку через технічні канали (залежно від вимог до об’єкта та класу інформації).

Етапи впровадження КСЗІ

1
Формування загальних вимог і завдання на створення КСЗІ
  • Формування загальних вимог до КСЗІ в ІТС.
  • Обґрунтування необхідності створення КСЗІ.
  • Обстеження середовищ функціонування ІТС.
  • Формування завдання на створення КСЗІ.
2
Розроблення політики безпеки інформації
  • Вивчення об’єкта, на якому створюється КСЗІ, проведення науково-дослідних робіт.
  • Вибір варіанту КСЗІ.
  • Оформлення політики безпеки.
3
Розроблення технічного завдання на створення КСЗІ

Технічне завдання (ТЗ) на створення КСЗІ в ІТС:

  • Є основним організаційно-технічним документом, який визначає конкретні вимоги щодо захисту оброблюваної в ІТС інформації, порядок створення КСЗІ, порядок проведення всіх видів випробувань КСЗІ та введення її в експлуатацію в складі ІТС.
  • Розробляється на відповідній стадії робіт зі створення ІТС на основі комплексного підходу до побудови КСЗІ, який передбачає об’єднання в єдину систему всіх необхідних заходів і засобів захисту від різноманітних загроз безпеці інформації на всіх етапах життєвого циклу ІТС.
  • Може розроблятися для новостворюваних ІТС, а також при модернізації вже чинних ІТС. Для оформлення ТЗ на КСЗІ можуть бути використані наступні варіанти: 1) у вигляді окремого розділу ТЗ на створення ІТС; 2) у вигляді окремого (часткового) ТЗ; 3) у вигляді доповнення до ТЗ на створення ІТС.

Перший варіант рекомендується застосовувати для новостворюваних ІТС. Другий або третій варіанти рекомендується застосовувати в разі модернізації КСЗІ, модернізації чинних ІТС, а також для ІТС, які вже мають затверджене ТЗ на створення, в якому не міститься окремого розділу щодо захисту інформації.

Для будь-якого з варіантів розроблення й оформлення ТЗ на КСЗІ, його зміст, порядок узгодження та затвердження повинен відповідати НД ТЗІ 3.7-001 і ДСТУ 34.602.

4
Розроблення проєкту КСЗІ
  • Проєкт КСЗІ розробляється на підставі та відповідно до ТЗ на створення ІТС (додаток до нього, окремого ТЗ на створення КСЗІ).
  • Ескізний проєкт КСЗІ (включно з архітектурою технічних контурів і попереднім переліком або специфікаціями засобів ТЗІ). На цьому етапі здійснюється розроблення попередніх проєктних рішень КСЗІ та, в разі необхідності, її окремих складових частин, а також розроблення, оформлення, погодження та затвердження документації на КСЗІ.
  • Технічний проєкт КСЗІ.
  • Робочий проєкт КСЗІ.
5
Введення КСЗІ в дію та оцінка захищеності інформації
  • Підготовка КСЗІ до введення в дію.
  • Навчання користувачів.
  • Комплектування КСЗІ (постачання, інсталяція, налаштування засобів ТЗІ та, за потреби, засобів КЗІ).
  • Попередні випробування КСЗІ та перевірка коректності роботи засобів ТЗІ (протоколи, акти).
  • Дослідна експлуатація.
  • Супровід процедури підтвердження відповідності: державна експертиза/атестат КСЗІ у перехідних випадках, авторизація з безпеки системи на основі профілю безпеки, або сертифікація за стандартом інформаційної безпеки — залежно від типу системи, власника, категорії інформації та чинного перехідного режиму.

Для систем, що проходять авторизацію з безпеки, типовий маршрут включає: визначення ЦПБ на основі базового або галузевого профілю, створення системи захисту відповідно до ЦПБ, оцінювання реалізації ЦПБ, підготовку авторизаційного листа та авторизаційної документації, а також супровід включення системи до переліку авторизованих систем з безпеки.

Запитати вартість

Останні нормативні вимоги

Підхід до підтвердження виконання вимог у 2025–2026 роках оновлено. Для визначених законом інформаційних, електронних комунікаційних, інформаційно-комунікаційних і технологічних систем запроваджується модель профілів безпеки та авторизації з безпеки системи (Постанова №712). У перехідних випадках можуть застосовуватися чинні документи щодо КСЗІ або процедури, розпочаті до набрання чинності новими правилами.

  • Нова модель спирається на базові, галузеві та цільові профілі безпеки. Базові профілі безпеки визначено для відкритої, конфіденційної та службової інформації. Для систем, де обробляється державна таємниця, діють окремі правила.
  • Регламентовано мінімальні вимоги до захисту інформаційних, електронних комунікаційних, інформаційно-комунікаційних та технологічних систем (Постанова №1531).
  • Для державних ресурсів і критичної інформаційної інфраструктури (КІІ) додано ризик-менеджмент, плани кіберзахисту та повідомлення про інциденти (Постанова №447).
  • Підсилено нацсистему реагування й обміну щодо кіберінцидентів (Закон №4336-IX).

На практиці виконання вимог і проходження перевірок значною мірою спирається на коректно обрані та налаштовані засоби ТЗІ (периметр, криптозахист, контроль доступу, журналювання, резервування тощо).

Перехідний період – що робити з уже створеною або розпочатою КСЗІ

Якщо КСЗІ вже оцінена, і документ про оцінку відповідності чинний, система може експлуатуватися без модернізації до завершення строку дії такого документа. Після цього потрібна авторизація з безпеки системи.

Якщо створення КСЗІ було розпочато до 18.06.2025, застосовується перехідна логіка: завершення робіт і подальший перехід до авторизації з безпеки у встановлені строки.

Якщо роботи виконувалися за експериментальною процедурою декларування відповідності за ПКМУ №627, декларація діє протягом визначеного строку, після чого система також переходить до авторизації з безпеки.

Пов’язані послуги

Можливо, вас також зацікавить:
Аудит відповідності вимогам безпеки Аудит відповідності вимогам безпеки Тестування на проникнення Тестування на проникнення Аудит безпеки вихідного коду Аудит безпеки вихідного коду Харденінг серверів Харденінг серверів Безпека продуктів, сервісів та DevOps Безпека продуктів, сервісів та DevOps Керована відповідність вимогам Керована відповідність вимогам Експерти як сервіс та Virtual CISO Експерти як сервіс та Virtual CISO Кероване виявлення загроз і реагування Кероване виявлення загроз і реагування

Ознайомтеся з додатковими сервісами та бізнес-кейсами. Надішліть форму нижче для отримання безплатної консультації.

#акредитований_аудитор #аудит_відповідності #аудит_конфігурацій #аудит_організації #КСЗІ #НД_ТЗІ #сертифікація #стандарти_безпеки #СУІБ

Бізнес-кейси проєктів, які ми виконали

Автоматизація бізнесу
Читати
Аналіз безпеки вихідних кодів програмного забезпечення
Читати
Аудит смарт-контрактів та блокчейн‑проєктів
Читати
Аудити безпеки та тести на проникнення
Читати
Кейси з впровадження центрів безпеки (SOC)
Читати
Керована безпека й комплаєнс (ISO 27001 тощо)
Читати
Реагування на інциденти та їх розслідування
Читати
Дивитися всі

Зв'яжіться з нами

Скористайтесь цією формою: